Siber güvenlik araştırmacıları, WordPress eklentilerindeki çok sayıda yüksek önem dereceli güvenlik açıklarının, tehdit aktörleri tarafından, daha sonra istismar edilmek üzere hileli yönetici hesapları oluşturmak amacıyla aktif olarak kullanıldığı konusunda uyardı.
Fastly araştırmacıları Simran Khalsa, Xavier Stevens, “Bu güvenlik açıkları çeşitli WordPress eklentilerinde bulunur ve yetersiz giriş temizleme ve çıktı kaçışı nedeniyle kimliği doğrulanmamış depolanan siteler arası komut dosyası (XSS) saldırılarına eğilimlidir, bu da saldırganların kötü amaçlı komut dosyaları yerleştirmesini mümkün kılar.” ve Matthew Mathur dedi.
Söz konusu güvenlik kusurları aşağıda listelenmiştir:
- CVE-2023-6961 (CVSS puanı: 7,2) – WP Meta SEO’da Kimlik Doğrulaması Olmadan Depolanan Siteler Arası Komut Dosyası Çalıştırma <= 4.5.12
- CVE-2023-40000 (CVSS puanı: 8,3) – LiteSpeed Cache’de Kimlik Doğrulaması Olmadan Depolanan Siteler Arası Komut Dosyası Çalıştırma <= 5,7
- CVE-2024-2194 (CVSS puanı: 7,2) – WP İstatistiklerinde Kimlik Doğrulaması Olmadan Depolanan Siteler Arası Komut Dosyası Çalıştırma <= 14,5
Kusurlardan yararlanan saldırı zincirleri, yeni bir yönetici hesabı oluşturmaktan, bir arka kapı eklemekten ve izleme komut dosyalarını ayarlamaktan sorumlu olan, harici bir alanda barındırılan karmaşık bir JavaScript dosyasına işaret eden bir yükün enjekte edilmesini içerir.
PHP arka kapıları hem eklenti hem de tema dosyalarına enjekte edilirken, izleme komut dosyası, HTTP ana bilgisayar bilgilerini içeren bir HTTP GET isteğini uzak bir sunucuya (“ur.mystiqueapi) göndermek üzere tasarlanmıştır.[.]com/?ur”).
Fastly, Autonomous System (AS) IP Volume Inc. (AS202425) ile ilişkili IP adreslerinden kaynaklanan istismar girişimlerinin önemli bir kısmını tespit ettiğini ve bunların bir kısmının Hollanda’dan geldiğini söyledi.
WordPress güvenlik şirketi WPScan’in daha önce, duyarlı web sitelerinde hileli yönetici hesapları oluşturmak için CVE-2023-40000’i hedef alan benzer saldırı çabalarını açıkladığını belirtmekte fayda var.
Bu tür saldırıların oluşturduğu riskleri azaltmak için, WordPress site sahiplerinin yüklü eklentilerini gözden geçirmeleri, en son güncellemeleri uygulamaları ve siteleri kötü amaçlı yazılım belirtileri veya şüpheli yönetici kullanıcıların varlığı açısından denetlemeleri önerilir.